Segurança no linux

gegel · 24 de fevereiro de 2003

Limite o número de programas que necessitam de SUID root no seu sistema

Programas SUID root são programas que, quando rodam, rodam com permissão total no sistema. Algumas vezes é preciso, mas muitas vezes não. Os programas SUID root podem fazer qualquer coisa que o root pode tendo um alto nível de responsabilidade em termos de segurança.

Rode programas com privilégio mínimo no acesso

Como foi dito antes, alguns programas não precisam ser root (ter permissão total ao sistema) para serem rodados, mas precisam de um alto acesso para o usuário normal. Aqui é onde começa a ideia do privilégio mínimo de acesso. Por exemplo, a LP (linha de impressora) possui comando que precisam de alto acesso para o usuário normal (para acessar impressora), mas não precisa rodá-los como root. Então, uma pequena coisa a fazer é criar um usuário (/bin/true como shell) e um grupo chamado lp e fazer com que qualquer usuário possa rodar qualquer dos comandos de LP e fazer tudo com os comandos LP que tiverem como owner e grupo LP. Isso fará com que o lp possa fazer seu trabalho (administre as impressoras). Então, se o usuário LP estiver compromissado, o invasor realmente não vai dar um passo de root no seu sistema. Agora para alguns programas que são SUID root, crie um usuário e um grupo para o programa.

Desabilite serviços que você não precisa ou não usa

Se você não usa rpc.mountd, rpc.nfsd, ou outros daemons parecidos, não rode-os. Simplesmente dê "kill -9" (comando utilizado para matar processos, terminar o programa) neles, vá nos scripts em /etc/rc.d e comente-os. Isso aumentará a memória e seu sistema ficará menos carregados; é um meio de se prevenir de invasores que tentam obter informações sobre seu sistema.

Tenha sempre os mais recentes /lib´s

Os arquivos /lib´s são códigos share: quando um programa precisa de uma certa peça do código, ele simplesmente vai e pega este código). A vantagem não seria outra: Programas são compilados menores, se uma peça do código lib está desaparecido, você pode simplesmente fazer upgrade. Desvantagens: o código desaparecido em /lib vai afetar alguns programas e se um invasor puder suas mãos no /lib´s, você realmente estará com dificuldades.

A melhor coisa a fazer corretamente os upgrades para as lib´s e checar o tamanho e data freqüentemente nas alterações.

Encriptando nas conexões

O pacote Sniffing é simplesmente o melhor meio para pegar passwords (senhas do sistema). O sniffer se acomoda em uma máquina, em uma subrede não encriptada e o rendimento será centenas de logins e passwords do ftp, telnet, Pop3. Não somente dos computadores locais, mas também de outras redes de computadores. Agora você pode dizer para você mesmo, "Mas eu tenho Firewall na minha rede, então eu estou seguro". "Besteira". sniffers atacam por trás dos firewalls, eles são instalados localmente. Um sniffer poderá ser bem utilizado pelo administrador quando ele quiser saber o que os outros estão fazendo em sua máquina, já que ele irá interceptar pacotes enviados de uma máquina para outra, mas em mãos erradas ele poderá causar muitos danos a sua máquina.

Instale wrappers para /bin/login e outros programas

Wrappers são programas pequenos, mas muito eficientes que filtram o que está sendo enviado para o programa. O login wrapper "remove todas as instâncias de várias variáveis do ambiente" e o wrapper do sendmail faz mais ou menos o mesmo.

Mantenha seu Kernel na última versão estável

Está dica realmente é aplicada a pessoas que possuem usuários no seu sistema. Kernel antigos possuem seus bugs conhecidos por qualquer pessoa e às vezes são muito instáveis. ainda mais bugs locais, Kernel 2.4.X tendem a serem mais rápidos que as versões 1.2.X, 2.0.X e, é claro, mais estáveis. Uma boa opção você é o script "getkernel.sh", Criado por Hugo Souza ([email protected]), que serve para automatizar o download dos fontes completos do kernel do Linux. Ele percorre todos os mirrors oficiais do kernel.org, encontra o mais disponível no momento e faz o download.

Quem já tentou fazer download de uma versão do kernel no próprio dia do lançamento sabe bem a dificuldade que é encontrar um mirror que não esteja lotado ou lento. Transforme este problema em coisa do passado!!

Em um outro artigo falaremos melhor sobre o Kernel, pois o Kernel é a alma do sistema; sem kernel o sistema não seria um sistema .... E nada melhor que ter um kernel sempre o mais seguro e atualizado possível.

http://www.linux.trix.net/getkernel-1.0.tar.gz

Ao compilar seu Kernel, somente compile o que vai usar

Quatro razões para você compilar só o básico de pacotes do kernel: O Kernel vai ficar mais rápido (menos códigos para rodar), você vai ter mais memória, ficará mais estável e partes não necessárias poderão ser usadas por um invasor para obter acesso em outras máquinas.

Deixem saber o mínimo possível sobre seu sistema

Um simples finger para o sistema da vítima pode revelar muitas coisas sobre seu sistemas; Quantos usuários, quando o administrador está dentro, ver o que ele está fazendo, quem ele é, quem usa o sistema e informações pessoais que podem ajudar um invasor a conseguir senhas de usuários. Você pode usar um potente finger daemons e limitar quem pode conectar ao seu sistema e exibir o mínimo possível sobre seu sistema.

Escolha boas senhas

Simplesmente ponha, senhas ruins é a chave para penetrar em seu site. Se você instalar o shadow em uma Box, você pode escolher para filtrar senhas ruins, tipo login: kewl, password: kewl, esta senha já não seria aceita, e isto é uma boa ideia. Sempre que você tiver uma pequena quantidade de pessoas no seu sistema, e eles são amigos, algum usuário não convidado pode obter root e fazer um "rm -rf /".

Se você puder, limite quem pode se conectar ao seu linux

Se possível, bloqueie o acesso telnet, ftp, ssh, de fora da subnet e bloqueie acesso direto do root apenas comentando o arquivo /etc/securetty. Certamente que seja mais seguro e você vai ter a sorte de não ter sistema danificado por estranhos.

Utilize um scan para encontrar possíveis bugs no sistemas

Utilize o NESSUS, uma ferramenta de segurança desenvolvida por Renaud Deraison, em 1998. Com ele é possível verificar várias vulnerabilidades em seu sistema, sendo um dos melhores security scanner na atualidade.

Faça o Download do Nessus em: ftp://mirror.arc.nasa.gov/pub/tools/nessus/

mais informações: http://www.nessus.org

Detecte os intrusos

Snort e IDS

http://www.linuxit.com.br/modules....tid=180

Fonte:

http://www.linuxit.com.br/modules....tid=181